証明書の URL のヘルスチェック
CertMgr は、TLS 資格情報文書で指定されたターゲット URL エンドポイントでの TLS 証明書の検証をサポートしています。この検証では、証明書の有効期限がチェックされ、証明書の有効期限が切れているかどうかが管理者に通知されます。
標準の証明書ヘルスチェックには、有効期限が切れる証明書のための警告機能が既に用意されています。この機能は、certstore.nsf の証明書チェックを補完します。
特に (SafeLinx、Sametime、Nomad Web などの) エクスポートされたワイルドカード証明書の場合、証明書の正常性を検証すると、管理者は Domino エコシステムでその証明書を簡単に管理できます。
リモートエンドポイント接続が TLS によって確立され、指定の URL で指定された、エンドポイントで構成されている実際の証明書の有効期限がチェックされます。
サポートされる URL 構文
基本的な構文は、https:// 構文を使用した、または使用しない URL 構文です (例えば、https://www.example.com など)。
https:// プレフィックスは省略でき、TLS が前提となります。ポートを FQDN に追加できます (icap.acme.com:11344)。
サポートされるプロトコル
この機能は HTTPS に限定されません。LDAP、POP3、IMAP、ICAP などのプロトコルもサポートされています。
プロトコル固有の情報はチェックされません。基盤となる LibCurl コードでは、リモートホストへの TLS/SSL 接続のみが検査されます。
ネットワークセッションを TLS (例えば STARTTLS) にアップグレードするプロトコルはサポートされていません。
証明書の URL のヘルスチェックを構成する
構成するには、certstore.nsf の TLS 資格情報文書内の [URL のヘルスチェック] で 1 つ以上の項目を指定します。次に、[ヘルスチェックオプション] から [有効] を選択します。
デフォルトでは、リモートピアを検証するための信頼するルートは certstore.nsf ([信頼するルート] ビュー) から読み取られます。代わりに Domino ディレクトリの信頼するルートを使用するには、[ヘルスチェックオプション] で [Domino ディレクトリからの信頼するルートを使用] を選択します。
URL のヘルスチェックの間隔
URL の証明書ヘルスチェックは、24 時間に 1 回実行されます。手動チェックが必要な場合は、CertMgr サーバーで tell certmgr check
を実行 して、証明書と証明書 URL の手動ヘルスチェックを要求します。
CertMgr により、notes.ini の CERTMGR_CHECKURL_LASTCHECKTIME に最後のチェックが保存されます。これは再起動時にロードされます。
URL のヘルスチェックの統計
証明書の URL の正常性を報告するために、次の CertMgr 統計を使用できます。
統計 | 説明 |
---|---|
CertMgr.HealthCheckURL.CheckTime.Last | 証明書 URL のヘルスチェックが最後に実行された時刻。 |
CertMgr.HealthCheckURL.CheckTime.Next | 証明書 URL のヘルスチェックの次にスケジュールされている実行。 |
CertMgr.HealthCheckURL.IntervalHours | 証明書 URL のヘルスチェックの間隔 (時間単位)。 |
CertMgr.HealthCheckURL.Status.Green | 正常性が問題なしとして報告された証明書 URL のヘルスチェックの数。 |
CertMgr.HealthCheckURL.Status.Yellow | 警告 (通常、証明書の有効期限がまもなく切れる) が報告された証明書 URL のヘルスチェックの数。 |
CertMgr.HealthCheckURL.Status.Red | 致命的エラー (通常、証明書の有効期限が切れた、または致命的な接続エラー) が報告された証明書 URL のヘルスチェックの数。 |
電子メール通知を構成する
警告またはエラーが発生した場合に電子メール通知を受信するには、certstore.nsf グローバル構成で、[ヘルスチェックの通知電子メール] フィールドに単一の受信者アドレスを指定します。
警告またはエラーが発生しない場合、電子メールは送信されません。電子メール通知は、URL の正常性がチェックされたすべての TLS 証明書の概要であり、警告またはエラーがある証明書に関する情報のみ含まれます。